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(54) Process for protection of a microcomputer and a protected microcomputer 

(57) A process for protection of a microcomputer against manipulation of its program and a 
microcomputer which is protected in this way are proposed. The microcomputer (1) has a 
computer kernel (2), a read-only memory (3), and a rewritable memory (5). In the read-only 
memory (3) a checking program is stored which by means of a key generates a code word from 
the memory contents of the rewritable memory (5). The code word is then compared to a 
cc^pffisohl^^ stored in the rewritabl^inemo oh this 

comparison the microcomputer is blocked or released. 
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(g) Verfahren zum Schutz eines Mikrorechners und geschutzter Mikrorechner 

@ Es wird ein Verfahren zum Schutz eines Mikrorechners 
gegen Manipulation seines Programms bzw. ein derart 
geschutzter Mikrorechner vorgeschlagen. Der Mikrorech- 
ner (1) weist einen Rechnerkern (2) einen nur Lesespei- 
cher (3) und einen wiederbeschreibbaren Speicher (5) auf. 
Im nur Lesespeicher (3) ist ein Uberprufungsprogramm 
gespeichert, das mittels eines Schlussels aus dem Spei- 
cherinhalt des wiederbeschreibbaren Speichers (5) ein 
Codewort bildet. Das Codewort wird dann mit einem Ver- 
gleichscodewort verglichen, das ebenfalls im wiederbe- 
schreibbaren Speicher (5) abgelegt ist. In Abhangigkeit 
von diesem Vergleich wird der Mikrorechner gesperrt 
oder freigegeben. 
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Beschreibung 

Stand derTechnik 

Die Erfindung geht aus von einem Verfahren zum Schutz 
eines Mikrorechners bzw. einem geschiitzten Mikrorechner 
nach der Gattung der unabhangigen Paten tanspruche. Es 
sind bereits Verfahren zum Schutz von Mikrorechner und 
geschiitzte Mikrorechner bekannt, die einen nur Lesespei- 
cher und einen wiederbeschreibbaren Speicher aufweisen. 
Dabei wird im wiederbeschreibbaren Speicher ein Pro- 
gramm gespeichert. Um dieses Programm vor einer uner- 
laubten Manipulation zu schutzen, werden die Befehle des 
Mikrorechners, die sich auf eine Veranderung des Speicher- 
inhaltes richten, besonders geschiitzt. Derartige Befehle 
werden nur dann von dem Mikrorechner ausgefuhrt, wenn 
zuvor eine Zugriffsberechtigung durch ein PaBwort verifi- 
ziert wurde. Weiterhin ist es bekannt den Speicherinhalt ei- 
nes wiederbeschreibbaren Speichers dadurch zu schutzen, 
daB an mehreren Stellen im Speicher Checksummen uber ei- 
nen gewissen Speicherbereich abgelegt sind. Bei der Aus- 
fiihrung des Programms werden dann diese Checksummen 
mit dem Inhalt der Speicherbereiche verglichen, so da6 eine 
teilweise Veranderung des Speicherinhalts nur dann erfolg- 
reich ist, wenn gleichzeitig auch die Checksummen veran- 
dert werden. 

Wenn jedoch die Speicherplatze auf denen die Check- 
summen abgelegt werden bekannt sind, kann eine Manipu- 
lation des Speicherinhalts nicht verhindert werden. 

Vorteile der Erfindung 

Das erfindungsgemaBe Verfahren zum Schutz eines Mi- 
krorechners bzw. der erfindungsgemaBe geschiitzte Mikro- 
rechner haben derngegenuber den Vorteil, daB eine unbe- 
rechtigte Veranderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuverlassig erkannt werden kann. Es 
bietet daher einen guten Schutz gegen unberechtigte Mani- 
pulationen des Speicherinhalts. 

Durch die in den abhangigen Anspriichen aufgefuhrten 
MaBnahmen sind vorteilhafte Weiterbildungen und Verbes- 
serungen des Verfahrens bzw. des Mikrorechners nach den 
unabhangigen Patentanspruchen moglich. Durch die Aus- 
fuhrung des Uberprufungsprograrnms bei jedem Start des 
Mikrorechners wird gewahrleistet, daB immer ein korrektes 
Programm im wiederbeschreibbaren Speicher gespeichert 
ist. Als Ergebnis des Uberprufungsprogramms kann bei ei- 
ner gefundenen Abweichung der Rechner dann gesperrt 
werden. Dabei konnen auch unterschiedliche Schlussel fur 
unterschiedliche Bereiche des wiederbeschreibbaren Spei- 
chers vorgesehen werden, so daB einzelne Bereiche zur Ver- 
anderung durch den Anwender freigegeben sind und andere 
Bereiche gesperrt sind. Hiermit wird ermoglicht, ein verbes- 
sertes Programm oder optimierte Datenwerte im Feld, d. h. 
von Servicediensten nachprogrammieren zu lassen ohne 
aber hierdurch die Moglichkeit zu geben, daB Tuningfach- 
leute, welche diese Programme erhalten, hieraus modifi- 
zierte Programme oder Daten erzeugen und abspeichern 
konnen mit anschlieBender Funktion der Elektronik. 

Zeichnungen 

Ausfuhrungsbeispiele der Erfindung sind in den Zeich- 
nungen dargestellt und in der nachfolgenden Beschreibung 
naher erlautert. Es zeigen 

Fig. 1 einen Mikrorechner und 

Fig. 2 einen Programmablauf des Uberprufungspro- 
gramms. 



Beschreibung 



In der Fig. 1 wird ein Rechner 1 gezeigt, der einen Rech- 
nerkern (CPU) und mehrere Speicher 1, 4, 5 aufweist. Bei 
5 dem Speicher 3 handelt es sich um einen nur-Lesespeicher 
(ROM), beim Speicher 4 um einen Schreib-ZLesespeicher 
(RAM) und beim Speicher 5 um einen wiederbeschreibba- 
ren Speicher (EPROM, FLASH-EPROM). In den Speichern 
sind Programmbefehle oder Daten gespeichert die durch den 
10 Rechnerkern 2 verarbeitet werden. Dabei sind je nach Art 
des Speichers unterschiedliche Daten oder Programme ab- 
gelegt. Der nur-Lesespeicher 3 enthalt ein festgespeichertes 
Programm welches nur durch Herstellung eines neuen Spei- 
cherbausteins geandert werden kann. In diesem Speicher 
15 wird daher in der Regel ein Minimalprogramm abgelegt, 
welches die CPU 2 in die Lage versetzt Befehle zu verarbei- 
ten, die in anderen Speichermedien insbesondere dem wie- 
derbeschreibbaren Speicher 5 gespeichert sind. Der Schreib- 
ZLesespeicher 4 ist nur wahrend des laufenden Betriebs des 
20 Mikrorechners 1 in der Lage Daten zu speichern und dient 
daher nur zur Ablage von Daten oder von Programmbefeh- 
len wahrend des laufenden Betriebs des Rechners. Auf die 
Speicherinhalte des SchreibTLesespeichers 4 kann beson- 
ders schnell zugegriffen werden, so daB teilweise auch Pro- 
25 gramme von anderen Speichermedien, beispielsweise aus 
dem nur Lesespeicher 3 oder dem wiederbeschreibbaren 
Speicher 5 in den Schreib-ZLesespeicher 4 ubertragen wer- 
den, um von dort aus ausgefuhrt zu werden. Der wiederbe- 
schreibbare Speicher 5, der hier als EPROM oder FLASH- 
30 EPROM ausgefuhrt ist, enthalt Programmabschnitte oder 
Daten, die im gewissen Rahmen veranderbar sein sollen. 
Dadurch wird es moglich den Mikrorechner 1 an unter- 
schiedliche Aufgaben anzupassen. Dies ist besonders vor- 
teilhaft, wenn der Mikrorechner 1 als Steuergerat fur ein 
35 Kraftfahrzeug angewendet wird. Im nur-Lesespeicher 3 
werden dann neben dem Minimalprogramm Steuerpro- 
gramme fur den Motor abgelegt. Im wiederbeschreibbaren 
Speicher 5 werden dann Daten, beispielsweise Motorpara- 
meter abgelegt, auf die das Steuerprogramm zugreift. Wei- 
40 terhin konnen zusatzlich Programmodule im wiederbe- 
schreibbaren Speicher 5 abgelegt werden, die z. B. nicht bei 
jedem Steuergerat verwirklicht werden sollen. Es ist so 
moglich, ein Steuergerat fur unterschiedliche Anwendungen 
zu verwenden. Die Steuerfunktionen, die fur alle Anwen- 
45 dungen gleich sind, werden im nur-Lesespeicher 3 abgelegt, 
wahrend die Programme oder Daten die sich bei den einzel- 
nen Anwendungen unterscheiden, im wiederbeschreibbaren 
Speicher 5 abgelegt werden, Problematisch ist dabei jedoch, 
daB diese erhohte Flexibilitat mit dem Risiko erkauft wird, 
50 daB Unbefugte den Speicherinhalt des wiederbeschreibba- 
ren Speichers 5 verandern. In der Anwendung bei Kraftfahr- 
zeugen konnte so beispielsweise die Leistung des Motors 
durch einen Austausch von Daten im wiederbeschreibbaren 
Speicher 5 erhoht werden. Um eine derartige unerwiinschte 
55 Manipulation am Speicherinhalt des wiederbeschreibbaren 
Speichers 5 zu verhindern, wird im nur-Lesespeicher 3 ein 
Uberpriifungsprogramm vorgesehen, welches in der Lage 
ist den Inhalt des Speichers 5 auf derartige unzulassigen An- 
derungen zu untersuchen. 
60 In der Fig. 2 werden Programmschritte dieses Uberpru- 
fungsprogramms dargestellt. Vor dem ersten Programm- 
block 10 des Uberprufungsprogramms erfolgen die notwen- 
digen MaBnahmen, um die CPU 2 zur Bearbeitung von Pro- 
grammen vorzubereiten. Dabei werden interne Register der 
65 CPU 2 auf Ausgangswerte gesetzt, und die CPU wird so in 
die Lage versetzt, Ein- und Ausgabeoperationen, die zur Be- 
arbeitung von Befehle notwendig sind, vorzunehmen. Nach 
der Ausfuhrung eines solchen Minimalprogramms bzw. ei- 



BNSDOCID: <DE 19723332A1 I > 



BNS oaae 2 



DE 197 23 332 A 1 



ner derartigen Bootroutine werden dann in einem ersten 
Programmblock des Uberpriifungsprogramms aus den im 
wiederbeschreibbaren Speicher 5 enthaltenen Daten ein Co- 
dewort ermittelt. Ein einfaches Beispiel fur ein derartiges 
Codewort besteht in einer Checksumme. Es sollten jedoch 5 
aufwendigere mathematische Verschlusselungsverfahren 
angewendet werden, die ohne genaue Kenntnis des Ver- 
schlusselungsalgorithmus einem Unbefugten nicht erlau- 
ben, aus dem Inhalt des wiederbeschreibbaren Speichers 5 
das Codewort zu ermitteln. In einem weiteren Programm- 10 
block 11 erfolgt dann ein Vergleich des so ermittelten Code- 
worts mit einem Vergleichscodewort, das im wiederbe- 
schreibbaren Speicher 5 gespeichert ist. Wenn das Codewort 
und das Vergleichswort miteinander iibereinstimmen wird 
das weitere Programm, hier durch den Programmblock 12 15 
dargestellt, fortgesetzt. Wenn das Codewort und das Ver- 
gleichswort nicht ubereinstimmen, wird das Steuergerat 1 
fur den weiteren Betrieb gesperrt. 

Ein berechugter Benutzer, der den Inhalt des wiederbe- 
schreibbaren Speichers 5 andern will wird somit mit dem 20 
nur ihm bekannten Verschlusselungsalgorithmus aus dem 
im Speicher 5 abzulegenden Programm ein Vergleichscode- 
wort ermitteln und diese dann mit dem Speicher 5 ablegen. 
Bei der Durchfuhrung des Uberprufungsprogramms wird 
dann der Mikrorechner 1 ordnungsgemaB arbeiten. Eine un- 25 
berechtigte Anderung des Speicherinhalts des wiederbe- 
schreibbaren Speichers 5 scheitert daran, daB der Verschlus- 
selungsalgorithmus nicht bekannt ist, so daB es dann nicht 
moglich ist, im wiederbeschreibbaren Speicher S ein kor- 
rektes Vergleichscodewort abzulegen. Durch das Uberprii- 30 
fungsprogramm wird dann der Mikrorechner 1 fur die Bear- 
beitung weiterer Aufgaben gesperrt. Unerwiinschte Manipu- 
lationen am Speicherinhalt des wiederbeschreibbaren Spei- 
chers 5 sind somit zuverlassig unterdruckt. 

Das Uberprufungsprogramm kann auch so ausgelegt wer- 35 
den, daB nur einzelne Bereiche des Speichers 5 iiberpriift 
werden. Weiterhin ist es moglich, das Uberprufungspro- 
gramm so auszulegen, daB fiir unterschiedliche Bereiche des 
wiederbeschreibbaren Speichers 5 unterschiedliche Ver- 
schlussclungsalgorithmen angewandt werden und fur jeden 40 
dieser Bereiche ein eigenes Codewort abgelegt wird. Es 
konnen so einzelne Bereiche des wiederbeschreibbaren 
Speichers 5 wahlweise fur eine Neuprogrammierung ge- 
sperrt werden oder wahlweise freigegeben werden. 

Weiterhin ist es auch moglich statt einer kompletten Sper- 45 
rung des Mikrorechners 1 bei einer Abweichung von Code- 
wort und Vergleichscodewort eine nur teilweise Sperrung 
vorzusehen. Wenn beispielsweise der Mikrorechner 1 als 
Motorsteuergerat verwendet wird, kann vorgesehen werden, 
daB bei einer unberechtigten Manipulation des Kennfeldes 50 
fur den Zundwinkel statt einer Sperrung der Funktion ein 
Zundwinkel herangezogen wird, der noch einen leistungs- 
verminderten Betrieb des Motors erlaubt und gleichzeitig 
eine Aufforderung auslost, das Fahrzeug bei einer Werkstatt 
reparieren zu Lassen. Es kann so sichergestellt werden, daB 55 
auch bei einer zufalligen Veranderung des Inhalts des Spei- 
chers 5 noch eine gewisse Minimalfunktion des Mikrorech- 
ners ausgeiibt wird. 

Weiterhin ist es moglich das Uberprufungsprogramm zu- 
nachst in einem inaktiven Zustand zu lassen und so zunachst 60 
noch Veranderungen des Speicherinhalts des wiederbe- 
schreibbaren Speichers zuzulassen. Dies ist insbesondere 
fiir eine Entwicklungsphase, bei der noch haufig Modifika- 
tionen des im wiederbeschreibbaren Speichers gespeicher- 
ten Programm erforderhch sind von Vorteil. Nach dem Ende 65 
der Entwicklung wird dann durch die Aktivierung des Uber- 
prufungsprogramms sichergestellt, daB weitere Manipula- 
tionen nur mit Kenntnis des Schliissels moglich sind. 
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1 . Verfahren zum Schutz eines Mikrorechners (1) ge- 
gen Manipulation seines Program ms, wobei der Mikro- 
rechner einen nur-Lesespeicher (3) und einen wieder- 
beschreibbaren Speicher (5) aufweist, wobei minde- 
stens ein Teil des Programms in dem wiederbeschreib- 
baren Speicher (5) gespeichert wird, dadurch gekenn- 
zeichnet, daB ein im nur Lesespeicher (3) enthaltenes 
Oberpriifungsprogramm (10, 11) ausgefuhrt wird, bei 
dem mit einem Schlussel aus zu mindestens einem Teil 
des im wiederbeschreibbaren Speichers (5) enthaltenen 
Speicherinhalts ein Codewort ermittelt und mit einem 
im wiederbeschreibbaren Speicher (5) abgelegten Ver- 
gleichscodewort verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeich- 
net, daB das Uberprufungsprogramm (10, 11) bei jedem 
Start des Mikrorechners (1) ausgefuhrt wird. 

3. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB bei einer Uberein- 
stimmung des Codewort und des Vergleichscodewort 
der Mikrorechner (1) zur Ausfuhrung weiterer Pro- 
gramme freigegeben und bei einer Nichtubereinstim- 
mung von Codewort und Vergleichscodewort der Mi- 
krorechner (1) zumindest teilweise gesperrt wird. 

4. Verfahren nach einem der vorhergehenden Ansprii- 
che, dadurch gekennzeichnet, daB das Uberprufungs- 
programm mindestens zwei Schlussel aufweist und daB 
jeder Schlussel zurBildung eines Codeworts eines ihm 
zugeordneten Bereich des wiederbeschreibbaren Spei- 
chers (5) zugeordnet ist. 

5. Geschutzter Mikrorechner (1) mit einem nur Lese- 
speicher (3) und einem wiederbeschreibbaren Speicher 
(5) wobei im wiederbeschreibbaren Speicher (5) ein 
Programm gespeichert ist, dadurch gekennzeichnet, 
daB im nur Lesespeicher (3) ein Uberprufungspro- 
gramm (10, 11) gespeichert ist, daB das Uberprufungs- 
programm (10, 11) in Abhangigkeit vom Inhalt des 
wiederbeschreibbaren Speichers (5) ein Codewort bil- 
det und dieses Codewort mit einem im wiederbe- 
schreibbaren Speicher (5) abgelegten Vergleichscode- 
wort vergieicht, 

6. Mikrorechner nach Anspruch 5, dadurch gekenn- 
zeichnet, daB der Mikrorechner bei jedem Start eine 
Bootroutine ausfiihrt und daB das Oberpriifungspro- 
gramm Teil dieser Bootroutine ist. 

7. Mikrorechner nach Anspruch 5 oder 6, dadurch ge- 
kennzeichnet, daB bei einer Nichtubereinstimmung von 
Codewort und Vergleichscodewort die Abarbeitung 
weiterer Befehle durch einen Rechnerkem (2) gesperrt 
wird. 

8. Mikrorechner nach Anspruch 5 bis 7, dadurch ge- 
kennzeichnet, daB mehrere Schlussel vorgesehen sind, 
die jeweils einem Bereich des wiederbeschreibbaren 
Speichers (5) zugeordnet sind, und daB mehrere Ver- 
gleichscodeworter im wiederbeschreibbaren Speicher 
(5) vorgesehen sind, die jeweils einem der Speicherbe- 
reiche zugeordnet sind. 

9. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der wiederbeschreibbare Schreiber 
(5) als Flash-Speicher ausgebildet ist. 

10. Mikrorechner nach Anspruch 5 bis 8, dadurch ge- 
kennzeichnet, daB der nur Lesespeicher (3) ein speziel- 
ler Bereich im Flash-Speicher ist. 



Hierzu 1 Seite(n) Zeichnungen 



BNSDOCID: <DE 19723332A1 I > 



BNS Daae 3 



ZEICHNUNGEN SEITE 1 ■ NummerJ^ DE 197 23 332 A1 

Int. CI. 6 : G 06 F 12/14 

Offenlegungstag: 3. September 1998 




Fig. 2 




BNSDOCID; <DE 19723332A1 I > 



802 036/354 



BNS oaae 4 



